原題: Sophos’ Secure by Design 2025 Progress
SophosのSecure by Design 2025進捗報告と多要素認証強化の取り組み
2024年、Sophosは米国CISA(Cybersecurity and Infrastructure Security Agency)が推進する「Secure by Design」イニシアチブに早期にコミットしました。本記事では、Secure by Designの7つの柱に基づく1年間の進捗と、多要素認証(MFA)強化を中心とした最新の取り組みを解説します。
主要なポイント
- 多要素認証(MFA)の強化:Sophos Centralにパスキー認証を導入し、2024年12月以降、全認証の20%以上がパスキーを利用。SMS認証などの旧式MFAは廃止し、TOTPまたはパスキーへの移行を義務化。
- デフォルトパスワードの排除:全製品・サービスでデフォルトの認証情報を禁止し、強固でユニークなパスワード設定を必須化。
- 脆弱性リスクの低減:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロード分離を強化。SFOS v21で一部実装し、SFOS v22でさらなる制御プレーンの再設計を予定。
- セキュリティパッチの自動化:SFOS v22でファームウェア更新の自動スケジューリング機能を導入予定。現在は99.41%の顧客が自動ホットフィックス適用を利用。
- 脆弱性報奨金プログラムの拡充:報奨金額を最大8万ドルに引き上げ、Secureworks買収に伴いTaegisやRedcloakの脆弱性も対象に。2024年は800件以上の報告を評価。
技術的な詳細や背景情報
多要素認証(MFA)は、ユーザー認証の安全性を高めるために複数の認証要素を組み合わせる仕組みです。Sophosはパスワードレスでフィッシング耐性の高いパスキー認証を導入し、旧来のSMS認証を廃止することで、認証の安全性を大幅に向上させました。
また、コンテナ技術を活用してSophos Firewallの重要なサービスを分離し、攻撃が一部のサービスに影響を及ぼしても全体への被害を抑制する設計に移行しています。これにより、リモートコード実行(RCE)などの重大脆弱性の影響を軽減します。
さらに、脆弱性報告に対する報奨金プログラムを拡充し、研究者のモチベーションを高めることで、製品の安全性向上に繋げています。Sophosは透明性を重視し、脆弱性の公表や根本原因分析(RCA)を積極的に公開しています。
影響や重要性
Sophosの取り組みは、企業や組織が利用するセキュリティ製品の信頼性向上に直結します。特にパスキー認証の導入は、フィッシング攻撃が増加する現代において重要な防御策です。デフォルトパスワードの排除やコンテナ化による脆弱性リスクの低減は、不正アクセスや攻撃被害を未然に防ぐ効果があります。
また、脆弱性報告プログラムの充実は、セキュリティ研究者との協力関係を強化し、より迅速かつ透明な脆弱性対応を可能にします。これらの施策はSophos製品を利用する顧客の安全を守り、業界全体のセキュリティ水準向上にも寄与します。
まとめ
SophosはSecure by Design 2025の枠組みのもと、MFA強化や脆弱性管理、製品設計の安全性向上に着実な進歩を遂げています。パスキー認証の導入や旧式MFAの廃止、Firewallのコンテナ化など、具体的な技術的改善を通じてユーザーの安全を守る姿勢が明確です。今後もSophosは透明性と信頼性を重視し、継続的なセキュリティ強化に取り組む予定です。
